Kişisel verilerin korunması kanunu (KVKK) 2016 yılında yürürlüğe girmesiyle kurumların müşterileri, çalışanları, iç ve dış paydaşlarına ait kişisel verilerin işlenmesi sınırları belirlenmiş ölçüde, uluslararası standartlara tabi olacak şekilde düzenlenmiştir.
Kişisel veri bireyin adı soyadı, doğum tarihi, doğum yeri, TC kimlik numarası gibi onun kesin teşhisini sağlayan bilgilerin yanı sıra; etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veri olarak tanımlanmaktadır. Bunun yanı sıra telefon numarası, araç plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş ses-görüntü kaydı gibi veriler de kişiyi tanımlamada kullanılabileceği için kişisel veridir.
6698 sayılı KVKK kapsamında ilgili kurumun bireylerden kişisel verilerini işleme konusunda açık ve anlaşılır şekilde izin alması gerekmektedir. Bu izin verilerin kimlerle paylaşılacağı ve ne kadar süre ile saklanacağı konularını da kapsamalıdır.
KVKK hangi kurumları kapsamaktadır
Gerçek kişilerle çalışan ve yukarıda bahsi geçen kişisel verileri alan saklayan her kurum bu kanun kapsamına girmektedir. Kanun kapsamına giren tüm kurumların kanunun gerektirdiği uyum süreçlerine uymak için bir dizi çalışma yapması gerekmektedir. Bu çalışma teknik, hukuki ve süreçleri de kapsamalıdır.
KVKK Kapsamında Yapılması Gereken Çalışmalar
Geçmişe dönük olmak üzere ağ üzerinde tüm kişisel verileri tespit etmek ve sınıflandırmak,
Kurum kapsamında sahip olunan tüm bilgi varlıklarının güvenliğini (gizlilik, bütünlük, erişebilirlik) sağlamak,
KVKK uyumu kapsamında bir veri envanteri oluşturarak müşterilerden, çalışanlardan ve diğer paydaşlardan alınan verileri belirlemek ve veri alma süreçlerini oluşturmak,
Mevcut ve müstakbel müşteri ve çalışanların verilerini işleme konusunda kabul edilebilir, sürdürülebilir bir şekilde yöntem belirlemek,
Kurumun sürdürülebilir bir KVKK uyumu için teknolojiler, politikalar, süreçler geliştirmek/sahip olmak,
Uyumun sürekliliğinin sürdürülebilmesi adına değerlendirme, gözden geçirme, denetimler planlama, sistemlerin ve verilerin güvenliğini sağlamak için Penetrasyon/Sızma testi gibi kötü durum senaryoları çalıştırmak,
ELFA KVKK Çözüm Paketi
ELFA KVKK hizmetini bir süreç firması ve hukuk firması ile beraber vermektedir. KVKK hizmeti teknik gerekliliklerinin sağlanması, elde edilen verilerin hukuki kapsamda değerlendirilmesi ve tüm sürecin kanuna uyumlu olarak yürütülmesi için ortak çalışma ile yürütülmektedir. Sistemin güvenliğinin test edilmesi için çalışmalar Penetrasyon testi ile desteklenmekte, ISO 270001-BGYS kapsamında denetlenmektedir.
Hizmetler KVKK konusunda uzman hukukçular, Avrupa Veri Koruma Yönergesi (GDPR) konusunda sertifikalı veri koruma görevlileri(DPO), CISSP, OSCP, CEH sertifikalı IT güvenliği uzmanları, siber güvenlik uzmanları, ISO 27001 danışmanları ve baş denetçileri ile verilmektedir.